FBI, 북한 사이버 공격 경고

북한 위협 행위자들이 LinkedIn을 활용하여 가짜 구인 모집 작전을 통해 개발자를 표적으로 삼는 것으로 관찰되었습니다. Google 소유의 Mandiant가 Web3 부문이 직면한 위협에 초점을 맞춘 새로운 연구에 따르면, 이러한 공격은 코딩 테스트를 초기 감염 벡터로 사용합니다. 연구원 Robert Wallace, Blas Kojusner, Joseph Dobson은 “초기 채팅 대화 후 공격자는 Python 코딩 챌린지로 위장한 COVERTCATCH 맬웨어가 포함된 ZIP 파일을 보냈습니다.”라고 밝혔습니다.

이 맬웨어는 Launch Agents와 Launch Daemons를 통해 지속성을 확립하는 2단계 페이로드를 다운로드하여 대상의 macOS 시스템을 손상시키는 발사대 역할을 합니다. 채용을 주제로 한 미끼는 북한 해킹 그룹이 다양한 맬웨어 변종을 전달하는 데 사용하는 널리 퍼진 전술이었습니다. Mandiant는 유명 암호화폐 거래소의 “재무 및 운영 담당 부사장”에 대한 직무 설명으로 위장한 악성 PDF를 전달하는 사회 공학 캠페인을 관찰했다고 언급했습니다.

이 PDF는 RustBucket이라는 2단계 맬웨어를 유포했습니다. RustBucket은 Rust로 작성된 백도어로, “Safari Update”로 위장한 Launch Agent를 사용하여 하드코딩된 명령 및 제어(C2) 도메인에 연결하여 파일을 실행하고 시스템 정보를 수집하고 지속성을 설정하도록 설계되었습니다.

FBI, 디지털 스파이 행위 경고

북한이 Web3 조직을 표적으로 삼는 방식은 사회 공학적 공격에만 그치지 않고 소프트웨어 공급망 공격까지 포함하고 있습니다.

“맬웨어를 통해 발판을 마련하면 공격자는 암호 관리자로 전환하여 자격 증명을 훔치고 내부 정찰을 수행한 다음 클라우드 환경으로 전환하여 핫 월렛 키에 액세스하고 자금을 빼냅니다.” Mandiant가 보도했습니다. 이 공개는 미국 연방수사국(FBI)이 북한 위협 행위자들이 고도로 맞춤화되고 감지하기 어려운 소셜 엔지니어링 캠페인으로 암호화폐 산업을 표적으로 삼고 있다는 경고에 따라 나왔습니다. 이러한 캠페인은 종종 피해자에게 알려진 채용 회사나 개인을 사칭하여 북한의 불법 수입을 창출하도록 설계된 암호화폐 강도의 통로로 고용 또는 투자 기회를 제공합니다.

주목할 만한 전술에는 관심 있는 암호화폐 관련 사업체 식별, 대상에 대한 광범위한 사전 작전 연구 수행, 잠재적 피해자에게 어필하고 공격 성공 가능성을 높이기 위한 개인화된 가짜 시나리오 생성이 포함됩니다. FBI는 “공격자는 개인 정보와 직업적 연결을 참조하여 관계를 구축하고 결국 맬웨어를 전달할 수 있습니다.”라고 언급했습니다. 성공하면, 공격자는 합법성과 신뢰를 구축하기 위해 피해자와 상당한 시간을 보내 상호 작용할 수 있습니다.